Estoy construyendo una aplicación híbrida (HTML, CSS, JS + código nativo de iOS) y me gustaría hacer llamadas a un servicio web, pero esto está siendo bloqueado actualmente por la seguridad de XSS.¿Es posible permitir Cross Site Scripting (XSS) en Mobile safari?
¿Qué necesito hacer para desactivar esta característica de seguridad (o más probablemente proporcionará una lista blanca que se le permite conectarse?)
Gracias por la ayuda!
Sí.
Puede usar Cross Origin Resource Sharing, si está permitido configure the server to support it y works on enough browsers para sus necesidades.
Nº
XSS no se puede desactivar en cualquier navegador - de lo contrario los hackers podrían fácilmente robar todo el dinero de su cuenta bancaria. Entonces este no es un camino que puedas, quieras o quieras tomar.
Haga otra pregunta donde describa con más claridad lo que necesita lograr y probablemente podamos ayudarlo.
Dado que el 'navegador' es una pieza de software escrita (aunque utilizando bibliotecas preexistentes) por el OP, ese no es el caso aquí. – Quentin
¿Qué es lo que estás pensando que llamarías una "función de seguridad XSS"? Todos los métodos de ataque XSS que conozco involucran trucos que ** no ** son impedidos por los valores intrínsecos del navegador, como la explotación de fallas en el escape de HTML de los datos del usuario escritos en páginas. – Pointy
Hola, Aaron: gracias por la respuesta, por elaborar: la aplicación realiza llamadas a un dispositivo físico, recibe información del dispositivo y muestra la información. Creé la aplicación usando código iOS estrictamente nativo, e hice las llamadas a través de solicitudes HTTP Post, pero el cliente quiere construir la aplicación utilizando el menor código nativo posible (por lo que es compatible con plataformas cruzadas) ... El problema es cuando el el código HTML/JS nativo intenta acceder al dispositivo físico que sirve los datos, la llamada está bloqueada ... – Nathan
*: ¿Por qué el voto a favor? –
Eso no es XSS. XSS es donde tiene un agujero de seguridad que le permite a un atacante agregar su JavaScript a su página para que se ejecute cuando un visitante llega a su sitio (generalmente a través de un enlace del atacante). – Quentin
¿De qué tipo de "servicio web" está hablando? ¿Qué estás intentando exactamente, y qué está haciendo exactamente el navegador para frustrar tus esfuerzos? "XSS" es una estrategia de * ataque *, no una función de seguridad. – Pointy